Podatność w Microsoft Partner Center umożliwia uwierzytelnionemu atakującemu eskalację uprawnień przez sieć. Wysoki wynik CVSS 9.6 oraz wpływ na poufność i integralność danych czynią tę lukę krytyczną dla organizacji korzystających z platformy.
▸ Pokaż oryginał (EN)
Improper access control in Microsoft Partner Center allows an authorized attacker to elevate privileges over a network.
Błąd polega na nieprawidłowej kontroli dostępu (CWE-284) w Microsoft Partner Center. Uwierzytelniony atakujący z podstawowymi uprawnieniami może, bez interakcji ze strony ofiary, wysłać odpowiednio spreparowane żądanie sieciowe, które obejdzie mechanizmy autoryzacji. W rezultacie możliwe jest uzyskanie uprawnień wykraczających poza te, do których atakujący jest uprawniony. Wektor ataku sieciowy i brak wymagań dotyczących złożoności ataku znacząco obniżają próg jego przeprowadzenia.
Atakujący może uzyskać nieautoryzowany dostęp do zasobów i danych innych użytkowników lub organizacji w Microsoft Partner Center, potencjalnie naruszając poufność i integralność danych w środowiskach wielu dzierżawców (scope changed).
Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegóły pod adresem https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-24303
Microsoft Partner Center — wersje wskazane w referencjach producenta
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:NMicrosoft Partner Center
APPMicrosoftwszystkie wersje
Powiązane podatności
Nieprawidłowa autoryzacja w Microsoft Partner Center — privilege escalation
Nieautoryzowana eskalacja uprawnień w Microsoft Partner Center
An improper access control vulnerability in Partner.Microsoft.com allows an a unauthenticated attacker to elev...
Externally controlled reference to a resource in another sphere in Microsoft Partner Center allows an unauthor...
Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów